TLS 1.1 w SUPLA w wersji dockerowej

Moderator: fracz

User avatar
Goral64
Posts: 3152
Joined: Fri Dec 27, 2019 6:22 pm
Location: Żerniki Wrocławskie

Post

klew wrote: Tue Feb 08, 2022 9:44 pm Jak sprawdzasz, które wersje są wspierane?
Ja sprawdzam poleceniem opennssl

Code: Select all

openssl s_client -connect <host>:<port> -tls<ver>
gdzie ver to 1, 1_1, 1_2 lub 1_3

A przy okazji certyfikat lokalnego serwera na porcie 2016 już wygasł jakiś czas temu... moglibyście wrzucić nowy ;)

Code: Select all

verify error:num=10:certificate has expired
notAfter=Dec 12 23:36:01 2021 GMT
Widzimy się na Supla Offline Party Season 2 :D

Image
User avatar
klew
Posts: 8763
Joined: Thu Jun 27, 2019 12:16 pm
Location: Wrocław

Post

Goral64 wrote: Tue Feb 08, 2022 9:52 pm
klew wrote: Tue Feb 08, 2022 9:44 pm Jak sprawdzasz, które wersje są wspierane?
Ja sprawdzam poleceniem opennssl

Code: Select all

openssl s_client -connect <host>:<port> -tls<ver>
gdzie ver to 1, 1_1, 1_2 lub 1_3
Dzięki :)

To pozwoliło mi zdebugować co się dzieje u mnie po zainstalowaniu aktualnego servera i clouda.

Jak próbowałem użyć TLS 1.1 lub 1.0, to dostawałem błędy w stylu:

Code: Select all

$ openssl s_client -connect 192.168.8.97:2016 -tls1_1

CONNECTED(00000003)
140427155138368:error:141E70BF:SSL routines:tls_construct_client_hello:no protocols available:../ssl/statem/statem_clnt.c:1113:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 7 bytes
Verification: OK
Analogicznie dla TLS 1.0.

Okazało się, że to nie jest problem po stronie serwera Supli tylko po mojej.
Domyślnie openssl u mnie (Ubuntu) ma wyłączone wsparcie dla starych wersji TLS, które są "deprecated". Aby działało, musiał edytować plik konfiguracyjny openssl na moim kompie i zezwolić na starsze wersje.
Zmiany w pliku zgodnie z: https://askubuntu.com/a/1233456

Po tym zabiegu:

Code: Select all

$ openssl s_client -connect 192.168.8.97:2016 -tls1

CONNECTED(00000003)
....
New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
...
SSL-Session:
    Protocol  : TLSv1
    Cipher    : ECDHE-RSA-AES256-SHA
Działa zarówno na publicznych serwerach jak i na dockerze.
Widzimy się na Supla Offline Party vol. 2 :!:
djack2017
Posts: 691
Joined: Mon Nov 27, 2017 7:36 am

Post

klew wrote: Tue Feb 08, 2022 9:44 pm
djack2017 wrote: Tue Feb 08, 2022 10:48 am
fracz wrote: Sat Feb 05, 2022 11:07 pm Mam przyjemność poinformować, że po kilkumiesięcznej przerwie dostarczamy nowe wydanie SUPLI - Cloud v2.3.36, Core v2.3.51.
Oto zgrubna lista zmian dotycząca całej infrastruktury:
  • kontenery dockerowe używają teraz LibreSSL 3.4.2, dzięki czemu wspierają więcej wersji protokołu TLS
Niestety nie wspierają. Nic się nie zmieniło w stosunku do poprzednich wersji.
Jestem trochę zielony jeśli chodzi o szyfrowane połączenia, TLS-y itp.
Tych starszych wersji TLS chcesz używać na intefejsie z cloudem (https) czy z serwerem (port 2016)?
Jak sprawdzasz, które wersje są wspierane?
Po https.
Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/
__________________________________________________________
Specjalizowane oprogramowanie do sterowników Sonoff, Gosund, Blitzwolf, Shelly i innych:
https://djack.com.pl/modules.php?name=Downloads&d_op=viewdownload&cid=54
User avatar
klew
Posts: 8763
Joined: Thu Jun 27, 2019 12:16 pm
Location: Wrocław

Post

djack2017 wrote: Wed Feb 09, 2022 7:25 am
klew wrote: Tue Feb 08, 2022 9:44 pm
djack2017 wrote: Tue Feb 08, 2022 10:48 am Niestety nie wspierają. Nic się nie zmieniło w stosunku do poprzednich wersji.
Jestem trochę zielony jeśli chodzi o szyfrowane połączenia, TLS-y itp.
Tych starszych wersji TLS chcesz używać na intefejsie z cloudem (https) czy z serwerem (port 2016)?
Jak sprawdzasz, które wersje są wspierane?
Po https.
Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/
Odpaliłem na publicznym serwerze i TLS1.0 i 1.1 jest wspierany. Niestety nie mam tego jak odpalić na prywatnym bo nie mam wystawionych ip na zewnątrz, ale sprawdzając komendą openssl wygląda jakby te starsze wersje były wspierane.
Rozumiem, że ta strona testuje połączenie po https, a więc chodzi Ci o szyfrowane połączenie z Cloudem, a nie na porcie 2016 dla urządzeń?
W jakim celu to jest potrzebne? Obie wersje tych protokołów zostały formalnie wycofane (jest na to dokument RFC), bo nie są uznawane za bezpieczne.
Nawet ta strona ssllabs dała niższą ocenę bezpieczeństwa dla serwerów Supli ze względu na akceptację tych starszych wersji oraz kilku innych protokołów.
Widzimy się na Supla Offline Party vol. 2 :!:
User avatar
fracz
Posts: 2262
Joined: Fri Oct 28, 2016 10:56 pm
Location: Kraków

Post

djack2017 wrote: Wed Feb 09, 2022 7:25 am Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/
Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.

Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.
djack2017
Posts: 691
Joined: Mon Nov 27, 2017 7:36 am

Post

fracz wrote: Wed Feb 09, 2022 8:39 am
djack2017 wrote: Wed Feb 09, 2022 7:25 am Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/
Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.

Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.
Też na to właśnie wpadłem i sprawdzam proxy Let's Encrypt
__________________________________________________________
Specjalizowane oprogramowanie do sterowników Sonoff, Gosund, Blitzwolf, Shelly i innych:
https://djack.com.pl/modules.php?name=Downloads&d_op=viewdownload&cid=54
djack2017
Posts: 691
Joined: Mon Nov 27, 2017 7:36 am

Post

djack2017 wrote: Wed Feb 09, 2022 9:04 am
fracz wrote: Wed Feb 09, 2022 8:39 am
djack2017 wrote: Wed Feb 09, 2022 7:25 am Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/
Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.
Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.
Też na to właśnie wpadłem i sprawdzam proxy Let's Encrypt
Wszystko jest ok. Supla obsługuje wszystkie warianty TLS i Cipher Suites co trzeba. Sorry za zamieszanie.
__________________________________________________________
Specjalizowane oprogramowanie do sterowników Sonoff, Gosund, Blitzwolf, Shelly i innych:
https://djack.com.pl/modules.php?name=Downloads&d_op=viewdownload&cid=54

Return to “supla-docker”